Персональные и большие. Работа с BigData становится опасной для бизнеса

Что в имени тебе моем

Основным источником BigData чаще всего являются обезличиваемые персональные данные. Например, для таргетирования интернет-рекламы крупнейшие сайты, владельцы почтовых сервисов и социальные сети автоматически обрабатывают поисковые запросы и даже переписку пользователей. Удаляя имена, ники, адреса и другие идентифицирующие личность сведения, такие массивы могут передаваться или даже продаваться третьим лицам.

По закону обезличивание персональных данных должно исключать возможность идентификации включенных в массив граждан. Но юристы отмечают отсутствие правового понятия «большие данные»: «Равно как и требований к обезличиванию персональных данных частными операторами. Поэтому бизнес вынужден применять действующие нормы виртуозно, чтобы оставаться в правовом поле», – констатирует руководитель практики «Медиаправо» юридической фирмы Intellect Михаил Хохолков.

«На сегодняшний день регулирование оборота BigData рудиментарно. Непонятно даже: большие данные - это частный случай информации, или информация – это частный случай BigData. Равно как ни один из методов обезличивание персональных данных не гарантирует невозможность обратного восстановления и, следовательно, привлечения оператора к ответственности. Кроме того, полностью обезличенные сведения не обладают никакой коммерческой ценностью и пользователю BigData не нужны», – убеждена вице-президент Федеральной палаты адвокатов Елена Авакян.

Действующая «методичка» Роскомнадзора регулирует обезличивание только государственными и муниципальными органами. Со стороны бизнеса (в том числе Ассоциации больших данных) неоднократно высказывались предложения создать национальный стандарт конфиденциальности такой информации, но пока единого документа не существует.

При этом в отсутствие требований к анонимизации частными операторами законодатели последовательно ужесточают ответственность за любые нарушения требований по обработке персональных данных. В Госдуме уже рассматривается проект введения за такие проступки оборотных штрафов. Они, как и предполагали авторы Стратегии развития рынка больших данных, могут, по сути, сделать использование BigData нерентабельным. Причем ошибка в деперсонификации каждой записи рассматривается как самостоятельное правонарушение, то есть несоблюдение несуществующих требований при формировании массива на основе скажем миллиона субъектов обернется для оператора многомиллиардным штрафом.

«Если несколько граждан пожалуются в Роскомнадзор на неправильное обезличивание их данных, то на оператора может быть наложено соответствующее количество административных штрафов (каждый от 60 до 100 тысяч рублей)», – поясняет Михаил Хохолков.

Соберем, все засеем и вспашем

Спорной остается и легитимность обработки находящихся в открытом доступе персональных данных, например – размещенных сами пользователями в социальных сетях. Так, еще примерно в 2016 году частная компания «Дабл» пропарсерила все аккаунты «ВКонтакте», «Одноклассников», «МойМир», «Twitter», Avito, «Авто.ру» и другие популярные площадки, собрав сведения о пользователях, их предпочтениях, социальных связях и так далее. Агрегированный массив продали Национальному бюро кредитных историй, которое использовало его для анализа кредитоспособности потенциальных заемщиков.

Роскомнадзор уличил компанию в незаконном сборе персональных данных, а владелец «ВКонтакте» – нарушении прав на базу данных. Судебное разбирательство длилось пять с половиной лет, ООО «Дабл» согласилось подписать мировое соглашение и отказаться от несанкционированной обработки аккаунтов. А законодатели ввели требование о допустимости обработки представленных в открытый доступ персональных данных только с отдельного добровольного письменного согласия самого пользователей.

Вместе с тем эксперты сомневаются в эффективности этой меры.

«Роскомнадзор не проводит инструментального контроля – не проверяет фактическую обработку персональных данных. По сути, он формально исследует представляемые самим оператором документы. Реальные нарушения могут быть выявлены только если спорная информация будет раскрыта, в том числе в результате утечки», – полагает частнопрактикующий юрист Светлана Жукова.

Генеральный директор компании «Крибрум» Игорь Ашманов видит риски злоупотребления использования даже обезличенных сведений: «Допустим, девушка идет на «Яндекс» и ищет товары для беременных. Потом эти данные связываются с резюме на HeadHunter и работодателю становится известно о беременности потенциальной сотрудницы. Все вместе это образует уголовно наказуемое деяние – отказ в трудоустройстве по причине беременности. Также можно вычислить, скажем, раковых или психиатрических больных, и так далее. И потом «втюхивать» им определенные лекарства. Идентификаторами пользователя могут быть, например, набор названий Wi-Fi сетей или Bluetooth-окружение, хотя персональными данными эти сведения не являются», – предупреждает Игорь Ашманов.

Смотрю в озера тихие

Регламентировать оборот BigData признан федеральный закон, принятый 8 августа и вступающий в силу 1 сентября 2025 года. Ряд компаний обяжут передавать в государственную информационную систему (именуемую «Госозеро») обезличенные персональные данные своих клиентов. Критерии отбора такой информации и порядок их деперсонификации должно определить правительство России.

Кроме государственных органов собранный массив сможет приобрести бизнес. Но только российский и законопослушный – в целях обеспечения информационной безопасности доступ к «Госозеру» будет закрыт для компаний с запятнанной репутацией, а также имеющих даже косвенные связи с заграницей (включая «дружественные» страны).

По словам Елены Авакян, проект «Госозеро» направлен на обмен BigData с целью обучения нейросетей. «Сейчас основным объемом больших данных обладают крупнейшие компании, тогда как небольшие IT-стартапы этой возможности лишены. Предполагается, что операторы BigData будут передавать массивы в «Госозеро», условия использования которого пока не определены», – поясняет эксперт.

Доходы от использования таких BigData, предположительно, будет получать оператор «Госозера». Тогда как расходы и риски возможного раскрытия персональных данных – компании, которым предписали бесплатно анонимизировать и отдавать в государственную систему клиентскую информацию.

Равно как никто не спрашивает согласия на раскрытия этих сведений у самих граждан (субъектов персональных данных), лишаются они реальной возможности и как-либо возражать против распространения информации об их жизни.

Подзаконные акты, призванные установить условия работы «Госозера», пока не разработаны.